Ab und zu gibt es so Geschichten die irgendwie schwer einzuordnen sind. Beispielsweise die seltsame Geschichte des Samba Zero-Day Exploits. Ich rekapituliere mal kurz die Ereignisse:
Fr, 05.02.: Kingcope veröffentlicht einen Exploit mit dem sich via Symlink Beschränkungen auf Samba-Freigaben aufheben lassen. Dazu hat er einen Sambaclient modifiziert um diese Symlinks anlegen zu können.
- „A remote attacker can read, list and retrieve nearly all files on the System remotely.
Required is a valid samba account for a share which is writeable OR a writeable share which is configured to be a guest account share, in this case this is a preauth exploit.“
Die Samba-Entwickler sind relativ schnell mit einem Advisory zur Hand, das dieses Problem erklärt.
Mo, 08.02.: Paul Szabo weist den Fehler zurück es handle sich um eine Fehlkonfiguration wenn diese Symlinks vom Sambadienst berücksichtigt werden.
- „Nothing breaks if the admin sets „wide links = no“ for that share: the link is not followed.“
Und dann driftet die Diskussion in das Verhalten von SMB auf Windows 2008 ab:
- „Since Windows 2000 NTFS supports „junctions“, which pretty much resemble Unix symlinks, but only for directories. And at least since Vista, it also supports symlinks, which are designed to mimic Unix symlinks, and can point to files or directories. Junctions and symlinks can cross volumes; symlinks can also refer to files or directories on network filesystems.“
Ende der Diskussion. Was praktisch nicht zur Sprache kommt ist, ob z.B. die Defaultkonfiguration von Samba einfach schlecht ist und nicht das erwartet, was der typische Administrator erwartet. Zumindest kann man nicht von „Safe Defaults“ sprechen. Aber wenigstens soll die Standardeinstellung in der nächsten Version behoben werden:
- „All future versions of Samba will have the parameter „wide links“ set to „no“ by default, and the manual pages will be updated to explain this issue.“
Und daraus kann man eine recht einfache Lehre ziehen. Wenn ein Programm in einer Konfiguration Defaulteinstellungen vornimmt, müssen diese der Erwartungshaltung der Administratoren entsprechen. Alles andere ist genauso ein Sicherheitsrisiko wie wenn es sich bei diesem Fehler um einen echten Zero-Day Exploit gehandelt hätte. Erstaunlich ist meiner Ansicht nach, dass es immer noch so viele Programme gibt, die sich nicht an diese Regel halten.
Kommentare gesperrt wegen Spam
Comment by Christian — 20. Februar 2010 @ 18:07